CN101557394A - 一种蜜网主动防御系统中的数据控制方法 - Google Patents
一种蜜网主动防御系统中的数据控制方法 Download PDFInfo
- Publication number
- CN101557394A CN101557394A CNA2009100293548A CN200910029354A CN101557394A CN 101557394 A CN101557394 A CN 101557394A CN A2009100293548 A CNA2009100293548 A CN A2009100293548A CN 200910029354 A CN200910029354 A CN 200910029354A CN 101557394 A CN101557394 A CN 101557394A
- Authority
- CN
- China
- Prior art keywords
- record
- term
- long
- source address
- short
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种蜜网主动防御系统中的数据控制方法,对失败连接进行计数统计,短期计数器对每个IP源地址的记录都有一个计数统计,当短期计数器超过阈值时认为检测到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,但当短期计数器没有超过阈值时,开始触发多轮检测机制,将该IP源地址的记录存入长期检测表里,当长期计数器超时并且计数值超过门限值时,我们认为检测到蠕虫异常行为,进行抑制,如果没有超时,认为该数据包正常可以放行。其优点是:能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为,识别隐蔽型攻击行为和慢速攻击行为,特别能够分析鉴别黑客发明的新的攻击行为模式。
Description
技术领域
本发明涉及一种蜜网主动防御系统中的数据控制方法,属于信息安全技术领域。
背景技术
随着网络信息化建设的普及和推广,安全问题逐渐成为目前网络技术领域的一个研究重点和热点。蜜网系统作为主动式网络防御技术,诱骗黑客对虚拟系统进行攻击并对黑客攻击和恶意软件活动进行全面深入的跟踪和分析,达到保护主机的目的。
我国1986年发现第一起计算机犯罪。到1990年发现并破获130起,1993-1994年1200起。根据公安部2008年度全国信息网络安全状况与计算机病毒疫情调查报告,我国2008年信息网络安全事件发生比例为62.7%,而网络攻击、端口扫描、网页篡改等黑客案件又占其中的23%。专家预计到2010年我国的网络安全案件可能达到10万起/年以上;从统计上看国内外黑客攻击的目标主要包括政府、军工、国防、金融、大型连锁商业网络银行客户等领域里的网站及数据库,以非法盗取金融和经济信息。
近几年,随着网络攻击技术的日新月异,网络防御的代价也越来越大。黑客在不断地发明创新性的攻击模式,挖掘各种系统的弱点和对付各种防御手段的对策,攻击软件向功能强大化、智能化、自动化方向逐步发展。僵尸网络对在线商务网站进行拒绝服务攻击,发送垃圾邮件推销各类垃圾商品,架设钓鱼网站欺诈并盗用互联网用户的敏感信息,从而获取现实经济利益的行为也越来越频繁。为了维护网络环境的安全,作为主动防御技术的蜜网在近几年有了重大发展。
蜜网主动防御系统通过故意暴露系统漏洞吸引攻击者,捕获攻击数据,分析追踪攻击行为,为进一步对恶意行为进行控制提供了有效技术措施,而这些主动欺骗攻击者的防御思想在安全防御领域发挥了其他技术(防火墙,入侵检测系统)不可替代的作用。
蜜网的核心技术需求之一是数据控制。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险,提高自身的防御性;数据控制是对攻击者在攻陷蜜罐后利用蜜罐向第三方发起攻击的行为进行限制的机制,对提高蜜网自身的防御性具有重要作用。通过数据控制技术可以有效降低蜜网带来的后期安全风险,加强蜜网自身的防御性。在第三代蜜网标准中,虽然蜜网通过防火墙对流经虚拟蜜网的数据流进行了控制,但是这种控制技术更多依赖于已知攻击特征模式的数据在单位时间内超过所设定的阈值而产生报警的思想,对于已知的蠕虫攻击和拒绝服务攻击能起到一定的作用。现有蜜网技术对故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为不能发现,并且对慢速攻击行为进行智能辨别也束手无策,有可能误将黑客精心构造的恶意数据放行。
发明内容
本发明的目的是克服现有技术中存在的不足,提供一种对蜜网系统的数据控制的方法,即采用一种多轮检测机制来改进蜜网在以上方面的不足,并且通过分析各种攻击行为方式之间的不同之处有针对性地加以控制,使得高效蜜网防御系统能够对慢速攻击数据流进行分类识别。
按照本发明提供的技术方案,一种蜜网主动防御系统中的数据控制方法包括如下步骤:
(1)在局域网的边界入口处放置检测和抑制设备,监测进出的数据流,抓取失败连接请求数据包,每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录,并将该记录存入短期检测表里,同时判断该记录是否已存入过;短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数。
(2)判断是否短期计数器超过阈值,即短期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则将存入短期检测表里的该条记录存入长期检测表里,同时判断该记录是否已存入过。
(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数;当某条记录中对应的IP源地址发生一次正常连接请求时,长期计数器对该记录的计数值减1。
(4)判断是否长期计数器超过阈值,即长期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到慢速蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则对该IP源地址发出的数据包放行。
所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失败连接记录;如果存入短期检测表的记录已存在,则短期计数器对该记录的计数值加1,否则计数值等于1。
所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单位时间内的失败连接记录;如果存入长期检测表的记录已存在,则长期计数器对该记录的计数值加1;否则计数值等于1。
本发明的优点是:能够识别故意放缓攻击速率以期绕过防火墙控制的未知攻击行为或隐蔽型攻击行为,识别隐蔽型攻击行为和慢速攻击行为,特别能够分析鉴别黑客发明的新的攻击行为模式;有益于网络安全管理人员早期检测发现异常攻击行为,研究黑客行为模式,提取恶意样本,帮助网络安全管理人员定位可疑主机、分析数据、部署特定安全策略;对于帮助公安机关侦破黑客案件,防范黑客攻击我国政府、军工、国防、金融、大型连锁商业的网站窃取政治经济信息具有重要意义。
附图说明
图1是本发明所述方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
本发明旨在提供一种先进的蜜网防御系统中的数据控制方法,在蜜网的体系构架中使用多轮检测机制,完善数据控制和攻击行为特征分类技术;以解决困扰蜜网工作效率的数据控制的关键问题。
本发明通过分析各种攻击行为方式之间的不同之处有针对性地加以控制,使得高效蜜网防御系统能够对慢速攻击数据流进行分类识别。传统蜜网对故意放缓攻击速率以期绕过防火墙控制的未知攻击行为不够智能化,并且对隐蔽型攻击行为进行智能辨别也束手无策。本发明通过分析不同攻击行为之间本质的行为差别,引入多轮检测机制提高数据控制的效率。
为了改善目前多数蜜网数据控制机制不够完善的窘境,同时为了阐述的清晰方便,本发明就目前网络安全领域威胁最大的蠕虫攻击行为进行说明。针对蠕虫检测防御策略对慢速隐蔽性蠕虫无能为力的窘境,本发明引入了两个存储表——短期检测表和长期检测表,分别存储较短时间和较长时间内的失败连接记录,这样做的目的是为了对在短期检测表内如果慢速隐蔽性蠕虫病毒在计数器没有超过预先设定的阈值时,我们就把相应的记录放入长期检测表中进行较长时间的累加检测,最终达到甄别病毒的目的。
我们对失败连接进行计数统计,短期计数器对每个IP源地址(即发出连接请求的IP地址)的记录都有一个计数统计,当短期计数器超过阈值时认为检测到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,但当短期计数器没有超过阈值时,开始触发多轮检测机制,将该IP源地址的记录存入长期检测表里,长期计数器对每个IP源地址的记录也都有一个计数统计,当长期计数器超时并且计数值超过门限值时,我们认为检测到蠕虫异常行为,进行抑制,如果没有超时,认为该数据包正常可以放行。
本发明的多轮检测机制,其核心思想是导入多个存储表分别存储较短时间和较长时间内的异常连接记录,这样做的目的是为了对在较短时间内如果蠕虫型恶意攻击数据没有超过预先设定的阈值以期躲避防火墙控制,就把相应的记录放入长期检测表中进行较长时间的累加检测。
如图1所示:
我们在局域网的边界入口处放置检测和抑制设备监测进出的数据流。在抓取数据包时,我们利用Linux平台下的tcpdump工具进行抓包,每当收到失败连接数据包就根据其中的IP源地址生成一条记录,如下表所示:
| 记录1 | 源地址 | 计数值 | 存在时间 |
| 记录2 | 源地址 | 计数值 | 存在时间 |
所述存在时间记载了该记录存在于短期检测表或长期检测表的时间,可以用于统计在每个时间点对该记录的计数值。短期检测表用于存储较短时间内的失败连接记录,如果记录已存入则每个局域网内IP源地址在单位时间内失败连接次数的短期计数值(即短期计数器的计数值)加1,没存入则令短期计数值为1。做短期计数器超时并且计数值超过门限值(即超阈值)的判断,如果超过阈值时认为检测到蠕虫异常行为,对该IP源地址发出的数据包进行抑制,如果没超时也先不对其放行,而是触发多轮检测机制,将其添加到长期检测表,将其放到较长时间内的失败连接记录里,进行较长时间的累加检测。对这些记录进行判断,如果记录已存入则该记录的长期计数值(即长期计数器的计数值)增1,如果记录没有被存入,则令长期计数值为1。特别的,当检测到长期检测表里的记录发生一次正常连接请求时,判断此前发生过正常用户出现的偶然失误行为,长期计数值减1。
接着判断是否长期计数器超时并且计数值超过门限值,在规定的较长时间内若该记录的累加超过阈值,我们就认为这是一种慢速蠕虫的扫描行为,对该记录对应的数据包进行抑制,如果没有超过阈值时则对该数据包放行。
Claims (3)
1、一种蜜网主动防御系统中的数据控制方法,其特征是,所述方法包括如下步骤:
(1)在局域网的边界入口处放置检测和抑制设备,监测进出的数据流,抓取失败连接请求数据包,每当收到失败连接请求数据包就根据其中的IP源地址生成一条记录,并将该记录存入短期检测表里,同时判断该记录是否已存入过;短期计数器统计局域网内同一条记录在规定的较短单位时间内存入短期检测表的次数;
(2)判断是否短期计数器超过阈值,即短期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则将存入短期检测表里的该条记录存入长期检测表里,同时判断该记录是否已存入过;
(3)长期计数器统计局域网内同一条记录在规定的较长单位时间内存入长期检测表的次数;当某条记录中对应的IP源地址发生一次正常连接请求时,长期计数器对该记录的计数值减1;
(4)判断是否长期计数器超过阈值,即长期计数器超时并且对某个IP源地址的计数值超过门限值,如果是,则认为检测到慢速蠕虫异常行为,对该可疑IP源地址发出的数据包进行抑制,如果否,则对该IP源地址发出的数据包放行。
2、如权利要求1所述的蜜网主动防御系统中的数据控制方法,其特征是:所述短期检测表用于存储局域网内每个IP源地址在规定的较短单位时间内的失败连接记录;如果存入短期检测表的记录已存在,则短期计数器对该记录的计数值加1,否则计数值等于1。
3、如权利要求1所述的蜜网主动防御系统中的数据控制方法,其特征是:所述长期检测表用于存储局域网内到达长期检测表的IP源地址在规定的较长单位时间内的失败连接记录;如果存入长期检测表的记录已存在,则长期计数器对该记录的计数值加1;否则计数值等于1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100293548A CN101557394A (zh) | 2009-04-10 | 2009-04-10 | 一种蜜网主动防御系统中的数据控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100293548A CN101557394A (zh) | 2009-04-10 | 2009-04-10 | 一种蜜网主动防御系统中的数据控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101557394A true CN101557394A (zh) | 2009-10-14 |
Family
ID=41175339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009100293548A Pending CN101557394A (zh) | 2009-04-10 | 2009-04-10 | 一种蜜网主动防御系统中的数据控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101557394A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测系统及方法 |
| CN103401710A (zh) * | 2013-07-30 | 2013-11-20 | 浙江中烟工业有限责任公司 | 基于方差的防火墙异常日志检测方法 |
| CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
| CN104426840A (zh) * | 2013-08-21 | 2015-03-18 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种主动威胁发现系统 |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105991509A (zh) * | 2015-01-27 | 2016-10-05 | 杭州迪普科技有限公司 | 会话处理方法及装置 |
| CN109474570A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测慢速攻击的方法及系统 |
-
2009
- 2009-04-10 CN CNA2009100293548A patent/CN101557394A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测系统及方法 |
| CN102916955B (zh) * | 2012-10-15 | 2016-03-02 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测系统及方法 |
| CN103401710A (zh) * | 2013-07-30 | 2013-11-20 | 浙江中烟工业有限责任公司 | 基于方差的防火墙异常日志检测方法 |
| CN104426840A (zh) * | 2013-08-21 | 2015-03-18 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种主动威胁发现系统 |
| CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
| CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105577608B (zh) * | 2014-10-08 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105991509A (zh) * | 2015-01-27 | 2016-10-05 | 杭州迪普科技有限公司 | 会话处理方法及装置 |
| CN105991509B (zh) * | 2015-01-27 | 2019-07-09 | 杭州迪普科技股份有限公司 | 会话处理方法及装置 |
| CN109474570A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测慢速攻击的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101557394A (zh) | 一种蜜网主动防御系统中的数据控制方法 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| Wani et al. | Ransomware protection in loT using software defined networking | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| US20070300300A1 (en) | Statistical instrusion detection using log files | |
| Sherif et al. | Intrusion detection: systems and models | |
| Asif et al. | Network intrusion detection and its strategic importance | |
| Alsafi et al. | Idps: An integrated intrusion handling model for cloud | |
| CN103023924A (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| Ashoor et al. | Difference between intrusion detection system (IDS) and intrusion prevention system (IPS) | |
| CN103227798A (zh) | 一种免疫网络系统 | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| CN1322712C (zh) | 一种实现诱骗网络数据流重定向的方法 | |
| Poston | A brief taxonomy of intrusion detection strategies | |
| Yu et al. | TRINETR: an intrusion detection alert management systems | |
| Song et al. | Correlation analysis between honeypot data and IDS alerts using one-class SVM | |
| Thu | Integrated intrusion detection and prevention system with honeypot on cloud computing environment | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控系统 | |
| Li-Juan | Honeypot-based defense system research and design | |
| Guan et al. | Notice of Retraction: An New Intrusion Prevention Attack System Model Based on Immune Principle | |
| Choi et al. | A fusion framework of IDS alerts and darknet traffic for effective incident monitoring and response | |
| CN110474888A (zh) | 一种基于php的独立式sql注入防御分析告警方法及其系统 | |
| Xiao et al. | Alert verification based on attack classification in collaborative intrusion detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20091014 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |